TheBeerHouse网站项目学习笔记（4）----安全管理（下）

TheBeerHouse网站项目学习笔记（4）----安全管理（下）2011-11-22 巡山小牛摘要: 安全管理是网站设计不可回避的问题,也是网站设计的重用组成部分.这些组成部分都需要对不同的用户进行识别,检查用户是否有权限对那些受限制的网页进行访问,这种方法称为认证（authentication）.决定用户可以对哪些内容进行访问,这种方法称为授权（authorization）.这两个概念容易弄混淆,那么可以这么来理解: 认证---你是谁？授权---我已经知道你是谁,你可以做什么？认证和授权是网站成员权限管理的一部分,包括创建新用户,用户证书管理（包括密码保护机制,例如为遗忘密码的用户进行密码恢复）以及与账户关联的角色管理.通过MS为我们提供的内置权限管理,我们可以快速建立整套网站的权限管理系统.上篇主要讨论"你是谁",下篇主要讨论"我已经知道你是谁,你可以做什么"

那么此下篇主要从以下三个个方面讨论权限问题,其实这些问题都是一些现象,通过这些现象查看后面的本质:

1. 不同角色的用户可以看到不同的菜单项目

2. 各个页面都有自己可以被访问的角色设置

3. 某个权限和另一个权限的角色之间的界限 / 不同的角色用户对同一个页面具有的操作项目不同

其实上面的三个部分都是对你可以干什么进行讨论.

一. 不同角色的用户可以看到不同的菜单项目

讨论这个现象假定我们已经熟悉如下知识点:导航控件Menu的使用,网站地图的格式以及两者之间的关系

这个现象就是匿名用户或非管理员一般用户登录后,只能看到如下菜单: